Heartbleed - Wat kunt u doen om veilig te blijven?

Heartbleed - Wat kunt u doen om veilig te blijven? / Veiligheid

De Heartbleed SSL-kwetsbaarheid haalt de krantenkoppen over de hele wereld - en een foutieve melding in de pers en online veroorzaakt verwarring. Hoe kunt u veilig blijven en uw persoonlijke gegevens niet lekken??

Wat is Heartbleed? Nou, het is geen virus

Je hebt waarschijnlijk gehoord dat Heartbleed wordt beschreven als een virus. Dit is niet het geval: in feite is het een zwak punt, een kwetsbaarheid op servers met OpenSSL. Dit is de open source-implementatie van SSL en TLS, de protocollen die worden gebruikt voor beveiligde verbindingen - die beginnen https: // in plaats van het gebruikelijke http: //.

Deze kwetsbaarheid - meestal een bug genoemd - creëert in wezen een gat waardoor hackers de codering kunnen omzeilen. Bevestigd op 7 aprilth 2014, het komt voor in alle versies van OpenSSL behalve 1.0.1g. De bedreiging is beperkt tot sites waarop OpenSSL wordt uitgevoerd - andere SSL- en TLS-bibliotheken zijn beschikbaar, maar OpenSSL wordt op grote schaal gebruikt op servers overal op het web. Er is een oplossing voor het probleem, maar dit is mogelijk niet toegepast op de websites die u regelmatig bezoekt voor beveiligde activiteiten. Dit kunnen websites voor online winkelen, gokken en andere websites voor volwassenen zijn of zelfs sociale netwerken.

Hierdoor lopen alle persoonlijke en financiële informatie gevaar.

Om een ​​idee te krijgen van hoe groot een deal Heartbleed is (en waarom het zo genoemd wordt), heeft Ryan onlangs deze internet-omkerende bug in context geplaatst. Massive Bug in OpenSSL zet veel van internet op risico Massive Bug in OpenSSL zet veel van internet At Risk Als u een van die mensen bent die altijd heeft geloofd dat open source cryptografie de veiligste manier is om online te communiceren, wacht u een beetje een verrassing. Lees verder . We moeten benadrukken dat Heartbleed een op internet gebaseerde kwetsbaarheid is en daarom van invloed is op gebruikers van alle besturingssystemen, desktops en mobiele apparaten.

Het is dus een grote deal, maar wat kun je eraan doen??

Negeer The Hype & Do not Panic

Welnu, er is één ding dat je niet zou moeten doen: paniek. Er is de afgelopen dagen veel geschreven op internet en in de gedrukte media en veel ervan is hype, doem porno die de effecten van Orson Welles 'beroemde radio-uitzending War of the Worlds tot schaamte zou zetten.

Veel van wat je al hebt gezien, zal samen zijn geperst uit persberichten en andere rapporten van journalisten die niet vertrouwd zijn met de terminologie en een gebrek aan duidelijk begrip over de risico's.

U weet bijvoorbeeld dat u uw wachtwoorden onmiddellijk moet wijzigen (niet helemaal waar, we moeten toevoegen - zie hieronder). Maar wist u van het phishing-risico??

Het phishing-risico

Verantwoorde webdiensten, banken en sociale netwerken die zijn getroffen door Heartbleed zullen u een e-mail sturen om u te laten weten dat zij de kwetsbaarheid hebben hersteld en adviseren u uw wachtwoord te wijzigen.

Uiteraard moet u dit doen - maar houd er rekening mee dat deze situatie een ideale gelegenheid biedt voor phishers om valse e-mails te verzenden, compleet met ingesloten links naar de “wachtwoord wijzigen” pagina - in werkelijkheid een website die is ontworpen om uw gegevens te verzamelen.

Geen enkele van de services die u gebruikt, zou u moeten aanraden om op een link voor het wijzigen van het wachtwoord te klikken in een e-mail die ongevraagde e-mail heeft verzonden. Helaas deed IFTTT dat ook, net als Pinterest (hierboven). Dit is een slechte gewoonte en geeft de indruk dat een dergelijke link acceptabel is en moet worden aangeklikt.

Tenzij u de e-mail hebt aangevraagd, mag niet op een dergelijke link worden geklikt.

Heartbleed e-mails voor het resetten van wachtwoorden mogen geen inlogkoppelingen bevatten. Als dit het geval is, verwijdert u deze en bezoekt u de website door het adres in uw browser te typen (of door het adres in de geschiedenis of favorieten te selecteren, afhankelijk van hoe u met dit ding meegaat). Van daar, reset je je wachtwoord ...

... maar alleen als je het in dit stadium echt nodig hebt.

Helaas kan de PR-gedreven behoefte aan bedrijven om te laten zien dat ze iets aan het doen zijn met bedreigingen zoals Heartbleed, net zo schadelijk zijn als de dreiging zelf.

Dus, moet u uw wachtwoorden wijzigen?

Een van de belangrijkste raadgevingen van Heartbleed in omloop is dat u uw wachtwoorden onmiddellijk moet wijzigen.

Allemaal.

Dit is helaas een voorbeeld van de verkeerde informatie waarnaar ik in de intro verwees. Stel dat u hetzelfde wachtwoord gebruikt voor verschillende websites. Allereerst is dit een slechte gewoonte en moet je dit in de toekomst opnieuw overwegen (om nog maar te zwijgen van het maken van veiligere wachtwoorden) Veilige wachtwoorden: genereer een ander wachtwoord voor elke website Veilige wachtwoorden: genereer een ander wachtwoord voor elke website Lees meer).

Ten tweede, als je al je wachtwoorden willekeurig verandert, is de kans groot dat je dat doet op een website die niet draait op een gepatchte server - een waarop Heartbleed nog steeds een kwetsbaarheid is.

U hebt per ongeluk mogelijk uw oude wachtwoord en uw nieuwe wachtwoord gedeeld met degenen die de kwetsbaarheid voor hun identiteitsfraude en spam-operaties kunnen misbruiken.

Daarom moet u uw wachtwoord alleen per site wijzigen als u weet dat ze zijn gepatcht - dat wil zeggen dat de oplossing is toegepast en de kwetsbaarheid is gesloten.

Controleer welke websites zijn gepatched

Ga aan de slag door na te gaan welke websites vrij zijn van de Heartbleed-kwetsbaarheid.

Er zijn twee manieren om dit te doen. Ga eerst naar Mashable waar een up-to-date lijst met websites met grote namen wordt gevonden die worden beïnvloed door Heartbleed, samen met advies over de vraag of u uw wachtwoord moet wijzigen of niet.

Voor de kleinere websites zal deze uitstekende zoekfunctie u onmiddellijk vertellen of de site al dan niet is gepatcht.

Een alternatief is de Chromebleed Checker-extensie voor Google Chrome.

Als de websites die u gebruikt zijn getroffen en de Heartbleed-kwetsbaarheid nog niet hebben hersteld, vermijd dan het inloggen totdat de situatie is opgelost.

Conclusie: het is een wachtspel

Omgaan met de storm Heartbleed zou voor de meesten geen probleem moeten zijn. Blijf bij de cursus die we hierboven hebben geadviseerd en verander geen wachtwoorden totdat u wordt gevraagd dit te doen door de bijbehorende websites en services.

U kunt ook nieuwe hulpprogramma's gebruiken om te controleren of de website die u wilt bezoeken (of zelfs degene die u gebruikt) is getroffen en of een oplossing is toegepast.

Het belangrijkste is dat u veilig blijft en geduldig bent. Het potentieel voor Heartbleed om enorme problemen te veroorzaken is er nog steeds - vermijd websites die moeten worden gepatcht totdat u weet dat ze nu veilig zijn.

Image Credits: Bullet Heart via Shutterstock, HTTPS via Shutterstock, Do not Panic Button via Shutterstock, wachtwoord via Shutterstock

Meer informatie over: online beveiliging, wachtwoord, SSL.